Quando si parla di organizzazione dei dati informatici, di backup e di procedure di disaster recovery, viene naturale entrare nel tema del trattamento dei dati personali.
E’ da maggio del 2018 che la rinnovata normativa privacy europea (GDPR o RGDP o regolamento EU n. 2016/679) è entrata in vigore ed ha trascinato con sé numerose aziende (purtroppo non tutte) in una fase di revisione dei sistemi e delle metodologie di trattamento dei dati.
Quando si parla di dati personali è ormai un dato di fatto che la maggior parte dei trattamenti viene svolta attraverso l’utilizzo di strumenti informatici. In capo al titolare del trattamento ricade la responsabilità (accountability) di eseguire i trattamenti in sicurezza, perseguendo le sole finalità (lecite) per le quali i dati personali sono stati affidati dall’interessato.
Facciamo un esempio. Quando un dipendente viene assunto da un'azienda, il dipendente è, in base alla normativa privacy, "l'interessato" mentre l'azienda è il "titolare del trattamento". L'azienda, tra gli altri, ha l’onere di sottoporre all’interessato l’informativa privacy all'atto dell'assunzione, dalla quale devono essere chiaramente comprensibili le finalità (cioè i motivi) per le quali i dati del dipendente verranno utilizzati (ad esempio i riferimenti anagrafici, le buste paga, il piano ferie etc). Al di fuori del perimetro delle finalità l'azienda non potrà utilizzare le informazioni personali che le sono state affidate. Il dipendente affida all'azienda moltissimi dati personali, cioè di informazioni di qualsiasi natura che si riferiscono a lui e che, logicamente, devono essere tutelati, protetti, non diffusi né mostrati a soggetti non autorizzati.
In questo scenario, l'azienda ha il dovere di proteggere questi dati e tutti gli elaborati che si riferiscono all’interessato. Proseguendo nell’esempio, le buste paga elaborate sono documenti contenenti dati personali (la retribuzione netta, le ferie residue etc) e, come gli altri, devono essere protette, conservate in sicurezza e rese disponibili ai soli soggetti autorizzati a trattarle.
Potremmo fare numerosi altri esempi di situazioni che legano titolari del trattamento (di norma aziende e professionisti) a interessati (di norma privati cittadini, persone fisiche). Un’azienda che vende online (titolare del trattamento) nei confronti di un cliente che acquista (interessato). Oppure una qualsiasi impresa che dispone di un impianto di videosorveglianza (titolare del trattamento) e qualsiasi soggetto venga ripreso dall'impianto stesso (interessati). O ancora (e qui si entra in un terreno molto scivoloso a livello privacy), un medico (ad esempio psicologi, medici del lavoro, medici specialisti) opera in qualità di titolare del trattamento nei confronti del proprio paziente (interessato), in questo caso entrando nella sfera dei c.d. “dati sensibili” (meritevoli per loro natura di una tutela maggiore rispetto ai dati personali “comuni”).
L’elemento che accomuna qualsiasi titolare del trattamento finora visto è lo stesso: il trattamento dei dati degli interessati con strumenti elettronici. Siano essi documenti di word, PDF, fotografie o video, documenti elaborati, scansioni… la sostanza non cambia: tutta la gestione delle informazioni e tutto il lavoro di aziende e professionisti transita, viene gestito e conservato all’interno di PC, server, smartphone.
Cosa deve fare quindi l’azienda o il professionista per essere in regola con la normativa privacy (GDPR)?
Deve adottare un sistema di gestione dei dati elettronici.
In cosa consiste un sistema di gestione dei dati elettronici?
Possiamo suddividere un buon sistema di gestione dei dati elettronici in due macro aree. Misure di sicurezza “organizzative” e misure di sicurezza “logiche”.
Misure di sicurezza organizzative
Quando si parla di misure di sicurezza organizzative in ambito informatico ci si riferisce all’adozione di sistemi di archiviazione delle informazioni che permettano di conservare i dati con ordine (ad esempio la suddivisione dei dati in cartelle identificate per singolo cliente/interessato, in modo da non confondere informazioni di soggetti diversi) e che consentano al solo personale autorizzato di accedere a determinate aree operative (ad esempio la cartella “amministrazione del personale” in un’azienda dovrebbe essere accessibile solo agli amministratori ed agli incaricati che si occupano di gestione dei dipendenti).
Per raggiungere questi risultati occorre utilizzare dei sistemi informatici che permettano la gestione di utenze (username e password) e di permessi di accesso, come nel caso delle condivisioni nei domini Windows oppure nel caso di strumenti di lavoro di gruppo in cloud (Nextcloud, Google Drive etc).
Soprattutto, occorre tenere sempre aggiornati i permessi, verificando costantemente che le utenze e le relative autorizzazioni di accesso siano in linea con le reali funzioni aziendali, riducendo al minimo il rischio di trattamenti non autorizzati dei dati personali.
Misure di sicurezza logiche
I dati personali affidati dagli interessati (persone fisiche) alle aziende (titolari del trattamento) sono di “proprietà” degli interessati. Il titolare del trattamento ha il dovere (e la responsabilità privacy) di proteggere queste informazioni. Quando si parla di protezione informatica, la prima linea di difesa è sempre il backup: solo con un sistema di copie efficaci è possibile ridurre al minimo il rischio di perdita dei dati personali affidati dall’interessato al titolare del trattamento.
Ecco quindi che ogni azienda ed ogni professionista, dotandosi di un sistema di backup sicuro, stabile ed efficace è in grado di dimostrare di essere “adeguato” nei confronti degli obblighi imposti dalla normativa privacy. Il concetto di “adeguamento” alla normativa è variabile, non esiste uno standard valido per tutti. Ogni azienda/professionista deve eseguire una propria analisi, facendosi aiutare sia da un professionista esperto di normativa privacy che dal proprio consulente informatico: dall’analisi fatta scaturirà un piano di adeguamento e di controllo.
Solo le aziende ed i professionisti che potranno dimostrare di avere un sistema di backup funzionante e ben documentato, nonché delle procedure di disaster recovery che vengono periodicamente testate per dimostrare l’efficacia dei sistemi di backup adottati, potranno definirsi “responsabili” e quindi essere veramente in regola con la normativa privacy.
Conclusione
Consiglio a tutti i professionisti ed a tutte le aziende di verificare lo stato dei propri sistemi di organizzazione dei dati elettronici e dei propri sistemi di backup e disaster recovery. Nel dubbio che ci sia qualcosa di non funziona correttamente o che non sia puntualmente documentato, il mio consiglio è di contattare immediatamente un esperto privacy ed un esperto di backup, in modo da adeguarsi quanto prima.